Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA DE RED
Detalle del cliente
Cliente: Bioetica
CIF/NIF: X123456789
Dirección: C/ Desengaño, 21
CP: 28045
Provincia: Madrid
Población: Madrid
Mail: email@bioetica.com
Detalle del documento
Tipo de documento Informe
Título del documento Informe_Auditoria_CarlosCuadrosRodriguez.docx
Descripción Informe Auditoria
Ref. 139/18
Clasificación Confidencial
Fecha de creación 06/02/2018
Historial del documento
Fecha Versión Autor Descripción
Carlos Cuadros
18/02/2018 1.0 Versión inicial
Rodríguez
El presente documento incluye información de carácter CONFIDENCIAL O
RESERVADA, y como tal, está sujeto a secreto profesional, estando destinado
para su uso exclusivo a X Security y a su cliente. Si usted, no es el destinatario de
este documento, queda por la presente notificada que la retención, distribución
o copia del presente documento y/o la información contenida en el mismo está
estrictamente prohibida, salvo autorización escrita de X Security.
ÍNDICE
1. RESUMEN EJECUTIVO 4
1.1 RESUMEN 4
1.1.1 ENFOQUE 4
1.2 RESUMEN COMERCIAL 5
1.2.1 ALCANCE 5
1.2.2 ESTADO 5
1.3 RESUMEN VULNERABILIDADES PLATAFORMA 6
2. INFORME TÉCNICO 10
2.1 PROCESOS REALIZADOS 10
2.1.1 GATHERING 10
2.1.2 RECONOCIMIENTO LAN 10
2.1.3 SEGURIDAD PERIMETRAL 11
2.1.4 SEGURIDAD FÍSICA 16
2.1.5 SEGURIDAD LÓGICA 17
2.1.6 CUMPLIMIENTO DE LAS LEYES VIGENTES 26
2.1.7 ANÁLISIS DE SISTEMAS DE PREVENCIÓN LÓGICOS 26
2.1.8 REDES INALÁMBRICAS 28
2.1.9 BUENAS PRÁCTICAS 30
3. CONCLUSIONES 32
1. RESUMEN EJECUTIVO
1.1 Resumen
A petición de nuestro cliente, Bioetica, X Security ha realizado la Auditoria de Red con
la información proveniente de un posible formulario comercial rellenado y enviado a X
Security.
A continuación le mostramos el informe de la auditoria de red simulada realizada el día
del 06/02/2018. El informe técnico muestra el nivel, la descripción, la alerta y las
recomendaciones principalmente, sobre todas las vulnerabilidades detectadas y
validadas a nuestro cliente.
El propósito general de la auditoria de red simulada es determinar las posibles
vulnerabilidades de seguridad en las configuraciones de los servidores ye
infraestructura de nuestros clientes, no siendo esta un ejemplo real en producción.
1.1.1 Enfoque
El enfoque que se ha seguido ha sido el siguiente:
Ø Realizar exploraciones generales para identificar las áreas potenciales de
exposición y los servicios que pueden actuar como puntos de entrada.
Ø Realizar exploraciones específicas e investigaciones manuales dirigidas a validar
vulnerabilidades.
Ø Identificar y validar vulnerabilidades.
Ø Rango de vulnerabilidades, basado en el nivel de amenaza, pérdida potencial,
probabilidad de explotación y fallo en la disponibilidad.
Ø Realizar actividades de investigación y desarrollo suplementarios para apoyar el
análisis.
Ø Identificar las vulnerabilidades críticas y sugerir recomendaciones para
solucionar dichas vulnerabilidades.
Ø Desarrollar recomendaciones a largo plazo para mejorar la seguridad real del
cliente.
Ø Transferencia de nuestro conocimiento técnico al cliente.
Ø Visualizar el cumplimiento de las leyes vigentes en materia de seguridad
informática.
Ø Comprobar y recomendar un sistema de seguridad física que garantice la
seguridad de la información.
1.2.2 Estado
A continuación se muestra un resumen global del estado del cliente, así como las
posibles consecuencias que podrían producirse con el nivel actual del cliente.
Nivel de Seguridad: Crítico
Vulnerabilidad Grave Alerta
Sistema Operativo obsoleto Facilidad para tomar control de los equipos.
Posibilidad de fuga de información debido al escaso
SSL nivel de cifrado en las comunicaciones de la página
web.
Vulnerabilidades
Crítica
Alta
Media
Baja
Info
A continuación se muestra un detalle de todas las vulnerabilidades detectadas y
validadas dentro de la red. Cabe destacar que se han excluido de este listado las
vulnerabilidades con un nivel “info”, ya que no suponen un riesgo para Bioetica.
Vulnerabilidad Nivel Alerta
Se dispone de una versión sin soporte del lenguaje
PHP Unsupported Version Detection Crítica
de aplicación web usado.
OpenSSL Unsupported Crítica Se está ejecutando un servicio no compatible.
OpenSSL 1.0.1 < 1.0.1o ASN.1 Encoder Existe una vulnerabilidad de ejecución remota de
Crítica
Negative Zero Value Handling RCE código.
Se ejecuta una versión de OpenSSL 1.0.1 anterior a
OpenSSL 1.0.1 < 1.0.1u Multiple
Crítica 1.0.1u. Por lo tanto, se ve afectado por varias
Vulnerabilities (SWEET32)
vulnerabilidades.
2. INFORME TÉCNICO
2.1 Procesos realizados
A continuación se describen los procesos detallados de los puntos principales
realizados durante la auditoría de red simulada.
Al ser un caso simulado, vamos a trabajar sobre una red no productiva con un rango de
red 192.168.1.0/24 compuesto por un equipo servidor con Windows 2008 Server, 2
Windows XP, 3 Windows 8 y un equipo Windows 10. Otros datos usados serán
obtenidos de la auditoría web realizada a la empresa Bioetica, a quien va dirigida esta
simulación.
Esta simulación será ejecutada sobre sistemas reales virtualizados.
2.1.1 Gathering
Esta fase consta de un análisis de la información pública de la empresa en diferentes
fuentes, quien siendo o no consciente de ella, puede generar graves trastornos
mediante técnicas muy usadas como la ingeniería social, que permite a un atacante de
manera sencilla y sin apenas conocimientos informáticos, lograr información privada
empresarial, poniendo en riesgo la seguridad de toda la empresa, incluso del personal
que la compone a nivel físico.
Hemos realizado un análisis del sitio web a través de “whatweb”, donde hemos
obtenido la dirección IP, la ubicación, así como todos los plugins que conforman la
página web. Podemos observar que se está usando PHP en su versión 5.2.17 o el
servidor Apache en su versión 2.2.26.
En la siguiente imagen se muestra una captura del resultado de la anterior ejecución.
2.1.2 Reconocimiento LAN
Como comentamos anteriormente, al ser un caso simulado vamos a suponer que la
red aparece con un rango de red interna 192.168.1.0/24 compuesto por un equipo
servidor con Windows 2008 Server, 2 Windows XP, 3 Windows 8 y 1 Windows 10.
En casos reales, estos datos serán ofrecidos por un sencillo procedimiento realizado
por el delegado de zona de Bioetica.
10
11
Hemos realizado el mismo análisis, esta vez para el equipo Windows Server 2008. Se han
obtenido una totalidad de 3 vulnerabilidades críticas, 3 de nivel alto y 57 informativas.
En la siguiente imagen se observan las vulnerabilidades más graves.
12
Una vez que ha sido atacada, podemos lanzar sobre la máquina diferentes explotis.
13
En este caso, vamos a hacer un ejemplo de tomar una captura de pantalla de la máquina
víctima.
14
Comprobamos en la máquina víctima que, efectivamente, es la pantalla actual.
15
16
2.1.4.3 Sistemas de actuación
Los sistemas de actuación lo componen todos aquellos medios que puedan ejecutar
una acción de prevención y respuesta directa. Los dos principales factores que lo
conforman son las alarmas y el personal de seguridad. Cualquiera de estos dos factores
cubriría este pilar base de la seguridad física, siendo más efectivo la obtención de
ambos medios de forma simultánea.
2.1.5 Seguridad lógica
La seguridad lógica la constituyen todos aquellos programas que protegen una parte o
sector de nuestra infraestructura de red.
2.1.5.1 Firewall
Los Firewall o cortafuegos son la primera barrera de seguridad de cara a atacantes
externos. Una buena política de acceso de ACLs o listas de control de acceso
implementado en un firewall, puede evitar un gran porcentaje de problemas para
nuestra red.
Se recomienda disponer de un firewall único de salida a internet configurado
exclusivamente con los puertos necesarios para la correcta ejecución de la labor
empresarial.
El Firewall debe ser un punto de paso obligatorio en todas las comunicaciones de
todos los dispositivos de la red.
Además es importante disponer de un Firewall de host correctamente configurado en
cada uno de los equipos internos de la red.
Nos encontramos que no todos los equipos disponen de Firewall, como es en el caso
del equipo Windows XP.
17
En la siguiente imagen vemos como el equipo Windows Server dispone del firewall.
2.1.5.2 Antivirus
Todos los sistemas auditados disponen de sistemas antivirus correctamente
actualizados.
Se recomienda usar en el servidor un antivirus con gestión centralizada para una
mayor eficacia ante posibles descuidos en las actualizaciones por parte de los usuarios.
Es importante disponer de la misma distribución de software antivirus para todos los
equipos y que estas sean controladas por un técnico especializado desde un servidor
dedicado a la seguridad.
18
Todos los equipos de red, dispongan o no de conexión externa, deben disponer de un
sistema antivirus especial para el entorno correspondiente.
Se considera de suma importancia su inmediata actualización, previa aprobación de
ser posible, por el técnico informático o departamento correspondiente de la empresa,
que con anterioridad, habrán realizado las pruebas pertinentes en los diferentes
sistemas soportados por la entidad empresarial.
Como recomendación por nuestra parte, indicamos que la actualización de los
sistemas antivirus de escritorio, no deben ser delegados a las funciones de los usuarios
final del equipo, sino que debe ser realizada por parte del personal técnico, al ser
posible desde un servidor antivirus previa aprobación.
19
20
21
22
Es recomendable además limitar el acceso a los sistemas con un máximo de 3 a 5
intentos antes de bloquearla.
Se ha comprobado que la sociedad dispone de una política de contraseñas, donde se
puede observar en la siguiente imagen.
2.1.5.5.4 Existencia usuario Administrador / root
El 99% de los ataques de fuerza bruta se lanzan sobre los usuarios administrador y root
que vienen por defectos en los entornos Windows y Linux respectivamente.
Para evitar estos ataques base, deben crearse otros usuarios administradores y
deshabilitar los mencionados por otros de mayor complejidad, y si es posible, que no
indiquen la función que ejecutan.
En el caso de Linux, cambiar el usuario root puede causar muchos problemas si no se
hace de la forma adecuada. En estos casos debe crearse y probarse concienzudamente
el nuevo usuario que hará las funciones de administrador e incluirlo en el archivo
sudoers con todos los privilegios.
2.1.5.5.5 Eliminación de privilegios de instalación en Desktops
Cualquier organización empresarial debe disponer de un plan de empresa donde las
tareas este bien definidas. No es lógico poner a un soldador a administrar la
facturación o poner al gerente a limpiar los cristales de la oficina.
Esto que perece tan evidente, no suele ser el caso en los temas informáticos.
23
Debe quedar muy claro que los que realmente tienen conocimientos de informática,
son los que deben trabajar la parte informática, y nadie más.
Muchos usuarios disponen de su ordenador en casa, instalan aplicaciones, juegos y se
manejan incluso muy bien. Pensar que ser un usuario medio o avanzado es suficiente
para instalar cuanto deseemos en los equipos empresariales es un grave error.
La mayor parte de pérdida de información y daños creados por virus en las empresas
del mundo es debido a esta aptitud de los usuarios. La pérdida de información en un
equipo del hogar puede ser molesta, pero en una empresa puede generar grandes
pérdidas económicas, llegando incluso a afectar a toda la red informática.
Para evitar esto, los usuarios deben acceder a equipos instalados previamente con el
kit de herramientas necesarias para la elaboración de sus funciones laborales, no
teniendo que instalar ningún software adicional. Para ello deben tener limitados los
privilegios de instalación, evitando así riesgos en la ejecución de aplicaciones que
generen vulnerabilidades o incluso troyanos. En el caso de necesitar alguna aplicación,
deben solicitar al departamento técnico la instalación, previa autorización, del
software a instalar.
2.1.5.5.6 Prohibir autentificar en local, sólo contra DC
Para poder ofrecer políticas de seguridad, debe estar bloqueada la opción de
autentificación local en los equipos de la red empresarial, evitando así la instalación de
código no autorizado. Sólo el soporte técnico debe tener cuenta de acceso local, el
resto de usuarios deben logarse contra una base de datos LDAP o de dominio.
2.1.5.5.7 LOPD en equipos informáticos
Todos los equipos de la red deben cumplir con las leyes vigentes. La LOPD indica que
cuando un usuario accede al entorno profesional, debe ser informado de ciertos
puntos a cumplir. Para ello tiene que existir una política que informe al usuario cuando
autentifique en los equipos de todos esos puntos.
2.1.5.6 Controlador de dominio
Todos los sistemas de información y servicio empresarial deberían regirse por una base
de datos de autentificación bajo normativas y políticas fuertes de seguridad. Para ello
se usan los controladores de dominio.
Para este tipo de funciones, se recomienda un entorno de servidor, siendo por ejemplo
Windows 2012 Server el idóneo, o en su defecto una distribución UNIX o Linux de
servidor.
24
25
26
2.1.7.2 HoneyPots
Los HoneyPots nos permiten generar falsas máquinas o sistemas dentro de nuestra red
informática para engañar o desviar la atención de los atacantes sobre estas. El
principal objetivo de estos sistemas es crear máquinas vulnerables, de forma que una
vez producida una intrusión, el atacante intente acceder a una de esas falsas máquinas
en vez de a una de producción.
Un claro ejemplo podría ser insertar una falsa máquina con el sistema Windows 2003
Server en nuestra red. Cualquier atacante que lo vea, será de lo primero que intente
atacar por su simplicidad para obtener el control total sobre este tipo de sistemas.
El uso de los HoneyPots es de gran utilidad para los administradores de sistemas si
disponen de un IDS. Con ambas herramientas el administrador detectar y cerrar las
vulnerabilidades encontradas, antes de que el atacante acceda a un sistema en
producción de vital importancia para la red empresarial.
2.1.7.3 Garantía de la integridad
La integridad de nuestros datos es una parte esencial de la seguridad de nuestro
entorno empresarial. Para poder asegurar que la información es realmente fiable,
debemos garantizar su autenticidad.
Un sencillo ejemplo podría ser un documento de Word redactado por el gerente de la
empresa que debe ser enviado posteriormente a un importante cliente. Si no
garantizamos su integridad y un empleado descontento cambio o añade información
de forma perjudicial para la entidad, esto nos supondrá grandes pérdidas económicas.
Existen diversas herramientas para garantizarnos que la información no ha sido
modificada o alterada de forma intencional o accidental. Una de las herramientas más
usadas es Tripwire, que nos avisa cuando un archivo ha sido alterado.
2.1.7.4 Sistemas anti Brute Force (ataques de fuerza bruta)
Hay aplicaciones que se hacen imprescindibles en una red empresarial. Un ejemplo es
FailBan o programas similares, que bloquean a los ataques que usan técnicas de
fuerza bruta.
Los ataques de fuerza bruta consisten en el uso de diccionarios de claves o contraseñas
que atacan un sistema o aplicación del que conocemos el usuario.
La mayoría de las bases de datos vienen por defecto con un usuario administrador que
casi nunca es modificado. Esto mismo ocurre con los router, los sistemas operativos e
infinidad de aplicaciones. Para ello es conveniente modificar ese usuario en cada una
de las aplicaciones y sistemas cuando nos es posible.
Programas como FailBan hacen que esos ataques de fuerza bruta queden
automáticamente bloqueados, impidiendo que la técnica más usada por los hackers
quede totalmente inactiva en nuestros sistemas.
27
2.1.7.5 Gestión diaria de logs del sistema
Los sistemas de servidor nos proporcionan amplia información sobre conflictos y
problemas tanto del software, como del hardware y la seguridad. El departamento
técnico debe tener como primera labor a diario, la revisión de los logs del sistema y
tomar las medidas oportunas.
2.1.7.6 Syslog de los sistemas
Los registros del sistema nos proporcionan información tanto preventiva, como
informativa. Para ello es necesario que esta información se encuentre totalmente
protegida en un equipo de red accesible exclusivamente por los técnicos del sistema.
Esta información nos avisará con antelación de fallos de red e incluso de intentos de
ataques.
Los syslogs disponen de información amplia y configurable de toda nuestra red, desde
el acceso de nuestros usuarios a diferentes recursos, como los avisos de sistemas,
aplicaciones y servicios de cara a tomar medidas preventivas.
La visualización diaria de los logs del sistema, debe ser una tarea obligada para los
administradores del sistema de cualquier red empresarial.
2.1.8 Redes inalámbricas
Las conexiones Wifi son el mayor punto de debilidad de las empresas. Los hackers
suelen empezar por este tipo de medios a la hora de atacar una red dada su facilidad
para encontrar acceso a la información.
2.1.8.1 Cifrado
El protocolo de seguridad y cifrado de la información transmitida por redes wireless
debe ser siempre WPA2, siendo este el único que puede ofrecer ciertas garantías de
seguridad por su robustez.
Se recomienda, en base a las posibilidades de la entidad, no usar redes inalámbricas
salvo necesidad real de estas.
En caso de darse esta necesidad, realizar un estudio de señal, de forma que la señal
sea lo más baja posible en los entornos externos de la empresa, he incluso dentro de
ella en las zonas innecesarias. Un buen método es el uso de inhibidores de frecuencias
en las zonas periféricas.
Debido a las necesidades empresariales, en muchas ocasiones se hace necesario el uso
de redes wifi.
28
Mientras que los protocolos de autentificación WEP y WPA generan una clave sencilla
de descifrar mediante captura y comparativa de paquetes, WPA2 aumenta su
robustez, haciéndola mucho más compleja de obtener.
2.1.8.2 Contraseña robusta
El uso de ataques a redes Wifi con WPA2 se centra en los ataques de captura y
descifrado del tráfico emitido en base a claves almacenadas o generadas por
diccionarios de palabras clave. Es por ello que la clave debe contener una fortaleza y
robustez, además de no ser conocida por el personal no técnico.
Las características de la contraseña deben ser las siguientes para poder garantizar una
alta fiabilidad:
• Mínimo de 14 caracteres.
• Uso de al menos una letra mayúscula.
• Uso de al menos una letra minúscula.
• Uso al menos de un número.
• Uso al menos de un carácter.
• No disponer del nombre de la empresa o marca en su contenido.
• Ser cambiada cada 90 días máximo.
2.1.8.3 WPS
El WPS nos permite generar un código PIN de ocho números en las comunicaciones
Wifi que podamos recordar de forma sencilla. Muchos routers y puntos de acceso
traen esta opción configurada por defecto. De nada sirven las políticas de contraseña si
WPS no está deshabilitado.
Siempre debe estar deshabilitada la opción WPS, la cual añade a la contraseña una
nueva vía de acceso a la red inalámbrica fácilmente hackeable, al ser siempre un
código PIN de 8 caracteres numéricos, lo que extremadamente fácil de obtener.
29
30
31
3. Conclusiones
La experiencia nos ha demostrado que realizar un esfuerzo enfocado a abordar los
problemas descritos en este informe, protegerán los activos más importantes de su
empresa y ayudaran a prevenir posibles chantajes o sanciones económicas.
Proteger nuestra organización contra una violación de la información puede ahorrarle
cientos de miles de euros y ayudarle a conservar la lealtad de sus clientes,
empleados y la confianza de los accionistas.
El traslado de la actividad de la mayoría de los actores de esta sociedad al ciberespacio,
ha aumentado drásticamente su exposición a nuevos riesgos y amenazas. Por ello el
concepto ciberseguridad, cuyo objetivo es la protección de las organizaciones y las
instituciones contra los ataques que los cibercriminales lanzan para comprometer sus
sistemas de información a nivel de hardware o software y contra el robo o destrucción
de la información que almacenan o gestionan.
La ciberseguridad ya es una prioridad en la agenda de los gobiernos y de las empresas
de todo el mundo. En 2014, nueve grandes organizaciones sobre diez han tenido algún
tipo de brecha de seguridad con un coste medio anual para las organizaciones que se
sitúa cerca de los 15 millones de dólares. Un 46% de las organizaciones espera sufrir
un ataque a lo largo del 2016.
Es importante entender que los ciberdelincuentes pueden atacar a cualquier tipo de
empresa, siendo indiferente su tamaño o sector. En X Security conocemos que tipo de
ataque son los más comunes en cada tipo de empresa para así poder tomar decisiones
mejor documentadas a la hora de construir las defensas.
Recordarles que la seguridad de la información no es algo que incumba únicamente
al departamento de TI. También debe ser importante para la directiva y el resto de los
empleados, sea cual sea su función.
Por todo esto llegamos a la conclusión de que el nivel de seguridad de su empresa
necesita mejorar urgentemente. Esperamos que los temas de este informe sean
abordados a la mayor brevedad posible.
Quedando a la espera
Reciban un cordial saludo
Director General X Security
Carlos Cuadros Rodríguez
32